2020 年 10 月 23 日 Trevor Collins 著

NSA が公開した最近のアドバイザリによると、中国政府から支援を受ける攻撃者が、機密性の高い知財や、経済、政治、軍事情報をいくつかの手法で入手しています。NSA は、中でも使用頻度が高く、大きな被害をもたらしている手法を特定しています。

その中に含まれる 25 個の脆弱性は、中国政府が支援する攻撃者によって使用されていることが判明しています。また、そのうち 21 個は、直近 2 年間で公開されたものです。
以下はその脆弱性と、影響を受けるシステムです。

• CVE-2019-11510 Pulse Secure VPN
• CVE-2020-5902 F5 BIG-IP
• CVE-2019-19781 Citrix Application Delivery Controller (ADC) and Gateway
• CVE-2020-8193 Citrix AD
• CVE-2020-8195 Citrix AD
• CVE-2020-8196 Citrix AD
• CVE-2019-0708 Microsoft Remote Desktop Services
• CVE-2020-15505 MobileIron
• CVE-2020-1350 Windows Domain Name System
• CVE-2020-1472 Microsoft Netlogon
• CVE-2019-1040 Microsoft Windows
• CVE-2018-6789 Exim mail transfer agent
• CVE-2020-0688 Microsoft Exchange
• CVE-2018-4939 Adobe ColdFusion
• CVE-2015-4852 Oracle WebLogic
• CVE-2020-2555 Oracle Coherence
• CVE-2019-3396 Atlassian Confluence Server Widget Connector
• CVE-2019-11580 Atlassian Crowd or Crowd Data Center
• CVE-2020-10189 Zoho ManageEngine Desktop Central
• CVE-2019-18935 Progress Telerik
• CVE-2020-0601 Windows CryptoAPI (Crypt32.dll)
• CVE-2019-0803 Microsoft Windows
• CVE-2017-6327 Symantec Messaging Gateway
• CVE-2020-3118 Cisco Discovery Protocol
• CVE-2020-8515 DrayTek

攻撃者はまず、標的となるユーザを特定し、情報を集め、標的のシステムに在する可能性脆弱性をみきわめます。次に、脆弱性を悪用するためのソフトウェアを作成するか以前のものを再利用します。最終的には、カスタマイズされたソフトウェアで標的を攻撃します。標的のシステムにアクセスすると、次にコード実行 [TA0002]、権限昇格 [TA0004]、認証情報へのアクセス [TA0006] を行います。レポートでも述べられていますが、脆弱性のある製品のほとんどはリモートアクセス [T1133] または外部 Web サービス [T1190] に関連しています。

脆弱性のあるこれらの製品を使用していないかどうか、脆弱性の各リンクを確認することを推奨しますが、一般的には、以下のベストプラクティスに従ってシステムを保護しておくことが望ましいでしょう。

自動アップデートで、確実に最新のセキュリティパッチを実行する、自動化ができない場合は毎月必ずシステムの最新アップデートを確認する時間を設ける、データ侵害があった場合、業務再開前に、侵害を受けたパスワードを変更する、外部からの直接の管理を許可しない、VPN を使用して外部からのアクセスを管理する、「すべてを拒否する」ポリシーで必要最低限のプロトコルのみを受け付ける、ネットワークを確実に隔離し、異なる部門や外部と接触のあるサーバを分割する、サーバのログ情報を記録して保存する、ログを定期的に確認し侵害の兆候がないか確認するなどのベストプラクティスを実施してください。